問題タブ [attr-accessible]

attr_accessible のセキュリティ上の脅威については非常に多くのことが書かれているため、属性を含める必要があるかどうかさえ疑問に思い始めています。これが問題です。私はMessage次のようなモデルを持っています:

updateにoreditアクションがありませんmessages_controller。newandアクションを使用createして、新しいメッセージを作成し、受信者に送信できます。ログインして一定の条件を満たしたユーザーのみがメッセージをやり取りできます。私は a の助けを借りてそれを行いbefore_filter、条件は正常に機能します。senderメッセージは保存され、およびで表示できますrecipient。完全！

私が持っている質問は、:body,:sender_id,:recipient_idが含まれているためattr_accessible、悪意のあるユーザーがどうにか:body,:sender_id,:recipient_idして元のメッセージの を変更できるかということです。これらの属性も追加してattr_readonly、保存後に変更できないようにする必要がありますか?

この質問は、ほとんどすべてのモデルで私を悩ませてきました。

このようにメソッド呼び出しで構築すれば簡単にできる属性を大量に作成したいのですが、

これは機能していません。これを達成する他の方法はありますか？

どんな助けでも大歓迎です。

Rails 4.0rc1でDeviseを動作させる方法はありますか? Rails サーバーを起動しようとしたり、Devise ビューを生成しようとすると、次のエラーが発生します。

Rails 3.2.2 アプリケーションで、ユーザー間の関係に従って Twitter スタイルを作成しています。私はモデルを持っUserていRelationshipます。

私はそれが問題の一部であった場合に備えて、devise と omniauth のものをそこに残すことにしましたが、私はそれを疑っています.

コマンド ラインでは、2 人のユーザーu1とu2.

コマンドを実行します

このエラーを受け取ります

アソシエーションでメソッドを使用するのは初めてですが、機能さbuildせることができれば非常に便利です。さらに情報が必要な場合は、お問い合わせください。ご協力いただきありがとうございます！

Rails 4 で使用できるように、Devise 3 のリリース候補版を使用しています。Rails 3.2 では、Userそのフィールドを registration/edit.html.erb に追加するだけで、モデルにカスタム フィールドを追加できました。および registration/new.html.erb ファイル (適切な移行を実行した後)。次に、そのフィールドをattr_accessibleモデルのフィールドのリストに追加します。

しかし、Rails 4 ではattr_accessibleリストがなく、単純にビューにフィールドを追加することはできません。カスタム ユーザー フィールドを追加するにはどうすればよいですか?

私は Rails3 を使用しています。User と Post の 2 つのモデルがあります。ユーザーはネストされた属性として投稿を持っています。ユーザーを保存しようとすると、保護された属性を一括割り当てできません:.....

デバイスを認証システムとして使用して、ユーザー登録でプロファイルを作成したいと考えています。

SO でこれに関する多くのトピックを読み、モデル内でプロファイルを構築するアプローチを取ることにしました。

profile.rb

user.rb

私の2つの質問は次のとおりです。

attr_accessible に user_id を入れるのは危険ですか (大量割り当て)?

トランザクションを使用してプロファイル作成をコントローラー (登録作成) に配置する必要がありましたか? (プロファイルの作成に失敗した場合、まだユーザー レコードが残っています)

attr_accessible親アカウントに基づいてユーザー モデルに追加しようとしています。ユーザー クラス インスタンスがまだその親にアクセスできないことはわかっていますが、これを行う方法がわかりません。どんな提案も素晴らしいでしょう。

これが私がstrong_params仕事をしている方法であり、ユーザーモデルで同様のことをしたい（またはもっと良いことをしたい）。

これは今働くものです：

これは私が働きたいものです：